沃爾瑪希望成為“世界上最值得信賴(lài)的零售商”���,該零售巨頭的法務(wù)主管格雷格·謝弗(Greg Schaffer)對(duì)坐在公司辦公樓空曠大廳里的幾位記者說(shuō)道���。
沃爾瑪希望成為“世界上最值得信賴(lài)的零售商”,該零售巨頭的法務(wù)主管格雷格·謝弗(Greg Schaffer)對(duì)坐在公司辦公樓空曠大廳里的幾位記者說(shuō)道���。
記者們一邊享用著早餐���,一邊聽(tīng)著一場(chǎng)正式安排的早餐對(duì)話(huà),談話(huà)雙方是公司網(wǎng)絡(luò)安全首席顧問(wèn)兼數(shù)字信任合規(guī)業(yè)務(wù)副總裁謝弗和高級(jí)副總裁兼首席信息安全官杰里·熱斯萊(Jerry Geisler)���,探討信任在沃爾瑪公司意味著什么���。
這是在任何技術(shù)會(huì)議上都能看到的一種對(duì)話(huà)���,這是沃爾瑪在一月中旬展示其安全運(yùn)營(yíng)工作過(guò)程中開(kāi)展的眾多對(duì)話(huà)的第一個(gè)。通過(guò)與二十多名網(wǎng)絡(luò)安全人員的對(duì)話(huà)以及參觀公司多個(gè)設(shè)施���,記者了解了沃爾瑪網(wǎng)絡(luò)運(yùn)營(yíng)工作的范圍���,以及為什么公司如此關(guān)注安全性(即使其客戶(hù)不會(huì)注意到這一點(diǎn))。
“我的認(rèn)識(shí)或許存在偏見(jiàn)——網(wǎng)絡(luò)安全始終是我最關(guān)心的問(wèn)題���,但我知道并非每個(gè)人都持同樣的觀點(diǎn)���。”熱斯萊在與謝弗談話(huà)時(shí)說(shuō)道���。
他說(shuō):“如果這是客戶(hù)所關(guān)心的頭等大事���,那么我希望他們能看到我們正在做的工作,并要堅(jiān)信���,在保護(hù)客戶(hù)信息方面���,我們正在履行對(duì)他們的承諾”。
熱斯萊表示���,如果安全性對(duì)客戶(hù)而言不是頭等大事,那么沃爾瑪仍希望客戶(hù)相信���,公司會(huì)做正確的事情���。
許多企業(yè)沒(méi)有將安全性作為首要工作,最終導(dǎo)致無(wú)法挽回的后果���。今年網(wǎng)絡(luò)犯罪造成的損失預(yù)計(jì)將達(dá)到8萬(wàn)億美元���,高于2022年的6萬(wàn)億美元���。世界經(jīng)濟(jì)論壇警告稱(chēng),在發(fā)生災(zāi)難性網(wǎng)絡(luò)事件后���,可能導(dǎo)致全球不穩(wěn)定���。
然而,由于市場(chǎng)處于低迷階段���,企業(yè)對(duì)網(wǎng)絡(luò)安全方面的持續(xù)投資無(wú)法得到保證���。
在一個(gè)網(wǎng)絡(luò)入侵成為常態(tài)、消費(fèi)者對(duì)隱私日益麻木的時(shí)代���,對(duì)安全性和信任的關(guān)注卻未得到重視���。聯(lián)邦貿(mào)易委員會(huì)(Federal Trade Commission)實(shí)施的處罰或歐盟在數(shù)據(jù)隱私方面的工作對(duì)企業(yè)改變其處理數(shù)據(jù)的方式上并沒(méi)有什么作用。屢次違規(guī)的企業(yè)表示���,他們正在對(duì)網(wǎng)絡(luò)工作進(jìn)行投入���,但更多的支出并未顯現(xiàn)出,安全環(huán)境可以改變���。
對(duì)沃爾瑪來(lái)說(shuō)���,對(duì)安全工作的認(rèn)真態(tài)度可通過(guò)其工作范圍得以了解���,沃爾瑪?shù)木W(wǎng)絡(luò)中心遍布全球,使其能夠通過(guò)輪班工作和不同時(shí)區(qū)實(shí)現(xiàn)24小時(shí)不間斷的安全運(yùn)營(yíng)(例如���,在印度班加羅爾的安全運(yùn)營(yíng)中心可以接力完成美國(guó)安全人員的工作日程)���。
這些安全運(yùn)營(yíng)中心平均每年處理6萬(wàn)億個(gè)數(shù)據(jù)點(diǎn)���,沃爾瑪將這些數(shù)據(jù)進(jìn)行內(nèi)部處理���,然后與更大的安全工作群體進(jìn)行共享。沃爾瑪還運(yùn)營(yíng)著一個(gè)經(jīng)認(rèn)證的取證實(shí)驗(yàn)室���,可幫助進(jìn)行數(shù)據(jù)恢復(fù)���,并配備無(wú)塵室、專(zhuān)業(yè)X射線(xiàn)技術(shù)和熱風(fēng)焊接���。參觀沃爾瑪?shù)臄?shù)據(jù)中心時(shí)���,規(guī)章執(zhí)行人員站在好奇的訪(fǎng)客身邊���,介紹著一些運(yùn)營(yíng)方面的冗余設(shè)備。
不給故障留有余地���,立即進(jìn)行故障切換���。
沃爾瑪沒(méi)有透露其在網(wǎng)絡(luò)安全方面的開(kāi)銷(xiāo),也未公開(kāi)其(負(fù)責(zé)管理基礎(chǔ)技術(shù))全球20000名技術(shù)員工中從事信息安全工作的比例���。對(duì)沃爾瑪設(shè)施的參觀只能讓人了解其業(yè)務(wù)運(yùn)營(yíng)的規(guī)模���,近距離觀察表明,很少有公司能實(shí)現(xiàn)如此規(guī)模的獨(dú)立運(yùn)營(yíng)���。
沃爾瑪?shù)木W(wǎng)絡(luò)安全工作不僅僅是一個(gè)最佳范例���,還可能是一個(gè)特殊案例。
這并不是說(shuō)沃爾瑪所采用的安全工作方式不可企及���。更確切地說(shuō)���,其運(yùn)營(yíng)工作與眾不同的是它如何能如此重視安全性���。面對(duì)不斷的網(wǎng)絡(luò)威脅,清楚地知道哪些工作應(yīng)優(yōu)先考慮���,哪些可以稍后再做���,這是企業(yè)可以效仿的技巧。
公司內(nèi)部情況
從局外人的角度來(lái)看���,沃爾瑪在全球各地的技術(shù)設(shè)施為其安全運(yùn)營(yíng)提供了世界一流的必要條件,而沒(méi)有像硅谷公司那樣提供炫目的福利���。在公司里沒(méi)有滑板車(chē)���,在一個(gè)房間的角落里,有一個(gè)帶安全網(wǎng)的蹦床無(wú)人使用���。
盡管可以選擇遠(yuǎn)程或混合工作方式���,但需憑徽章進(jìn)入的出入口和層層上鎖的門(mén)表明���,其物理安全性已達(dá)到數(shù)字化。
在人才方面���,這家零售商與其他公司一樣面臨著困境:對(duì)網(wǎng)絡(luò)人員的需求遠(yuǎn)遠(yuǎn)超過(guò)了供給���,這個(gè)缺口越來(lái)越大,目前有340萬(wàn)個(gè)空缺職位���。
在資源方面���,沃爾瑪比許多公司都占優(yōu)勢(shì)。它在2022財(cái)年的營(yíng)收為5728億美元���,擁有242億美元的運(yùn)營(yíng)現(xiàn)金流���。但其安全部門(mén)的長(zhǎng)期工作增加了公司的認(rèn)知深度。
其信息安全部門(mén)有遠(yuǎn)超過(guò)20年的歷史���,設(shè)立時(shí)間早于那些導(dǎo)致行業(yè)巨變的標(biāo)志性且最知名的攻擊���,例如���,2014年對(duì)索尼公司的黑客攻擊,或2015年對(duì)烏克蘭電網(wǎng)的攻擊���。
“我們的經(jīng)驗(yàn)是���,由于公司在二十多年前就開(kāi)始對(duì)這一領(lǐng)域進(jìn)行投入,而且���,隨著我們成長(zhǎng)���、發(fā)展和成熟,然后進(jìn)入業(yè)務(wù)領(lǐng)域���,因此,我們不斷成長(zhǎng)���、發(fā)展和成熟的項(xiàng)目就擁有優(yōu)勢(shì)���?��!睙崴谷R說(shuō)。
他說(shuō):“我認(rèn)為���,這使我們處于一個(gè)令人羨慕的地位���,可以長(zhǎng)期擁有話(huà)語(yǔ)權(quán),成為我們企業(yè)可信賴(lài)的伙伴���,幫助企業(yè)避免犯錯(cuò)”���。
沃爾瑪?shù)陌踩\(yùn)營(yíng)工作已贏得了業(yè)內(nèi)影響力,并因此也能夠吸引有經(jīng)驗(yàn)的人才���。在谷歌���、摩根大通公司以及其他財(cái)富100強(qiáng)公司工作過(guò)的人員,也在沃爾瑪?shù)膯T工名單中���。
除了擁有這些聲譽(yù)���,沃爾瑪?shù)腖ive Better U計(jì)劃���,為員工全額支付大學(xué)學(xué)費(fèi)和書(shū)本費(fèi),旨在打造一個(gè)科技人才渠道���,支持網(wǎng)絡(luò)安全和信息技術(shù)等領(lǐng)域的項(xiàng)目���。
留住人才也是其人才戰(zhàn)略的一部分。在沃爾瑪?shù)墓巨k公樓內(nèi)���,經(jīng)?��?梢钥吹接泄ぷ鏖L(zhǎng)達(dá)數(shù)年的員工,其徽章上清楚地顯示出工作時(shí)間為五年���。一位名為賈斯汀·辛普森的專(zhuān)家���,在十多年前剛從大學(xué)畢業(yè)就在沃爾瑪開(kāi)始了其職業(yè)生涯,現(xiàn)在擔(dān)任數(shù)據(jù)安全總監(jiān)���,同時(shí)也負(fù)責(zé)量子和加密技術(shù)工作。
他工作的重點(diǎn)是后量子密碼技術(shù)���,確保在量子計(jì)算機(jī)問(wèn)世后���,沃爾瑪擁有正確的安全流程���。
像辛普森一樣,沃爾瑪?shù)囊恍?zhuān)家和專(zhuān)業(yè)人員致力于未來(lái)發(fā)展���,無(wú)論這一目標(biāo)看起來(lái)有多遙遠(yuǎn)���。其他人則負(fù)責(zé)身份訪(fǎng)問(wèn)管理或云安全。機(jī)器人是另一專(zhuān)業(yè)技術(shù)���,可幫助沃爾瑪進(jìn)行深度防御���,確保客戶(hù)能購(gòu)買(mǎi)到自己想要的商品���。
平均而言���,沃爾瑪在一個(gè)月內(nèi)可阻止85億次機(jī)器人惡意攻擊。
除了擁有互聯(lián)網(wǎng)光環(huán)的普通且疲憊的信息安全員工外���,其他人都有一個(gè)高度專(zhuān)業(yè)化的角色���。使用計(jì)算機(jī)的每一個(gè)細(xì)節(jié)(無(wú)論是公司員工���、店員還是顧客)都經(jīng)過(guò)深思熟慮。沒(méi)有任何事情會(huì)被遺漏或忽視���。
網(wǎng)絡(luò)之外
沃爾瑪并沒(méi)有封閉自己的安全技能���。反而,它在與外部信息共享和分析中心合作���,分享其網(wǎng)絡(luò)內(nèi)部和外部安全威脅相關(guān)的情報(bào)���。
沃爾瑪副總裁兼副首席信息安全官羅伯·杜哈特(Rob Duhart)在一次午餐圓桌討論中表示,沃爾瑪在與美國(guó)零售業(yè)聯(lián)合會(huì)(National Retail Federation)的合作伙伴緊密合作���,“我們實(shí)現(xiàn)了共贏”���。
“美國(guó)零售業(yè)聯(lián)合會(huì)”和“零售與酒店業(yè)信息共享與分析中心”加強(qiáng)了合作,以更好地打擊惡意網(wǎng)絡(luò)攻擊,保護(hù)客戶(hù)數(shù)據(jù)���。“零售與酒店業(yè)信息共享與分析中心”發(fā)現(xiàn)���,大多數(shù)首席信息安全官(70%)預(yù)計(jì)今年的預(yù)算將有所增加���。
杜哈特表示,沃爾瑪“也在盡力繼續(xù)與我們的監(jiān)管機(jī)構(gòu)合作���,以確保他們可以學(xué)到我們的經(jīng)驗(yàn)”���。
對(duì)于如何看待外部網(wǎng)絡(luò),有一個(gè)分層的方法���。大多數(shù)企業(yè)將其稱(chēng)為第三方風(fēng)險(xiǎn)���,而沃爾瑪將外方風(fēng)險(xiǎn)分為第四、第五���、第六層及更高層的威脅���。對(duì)每一層的風(fēng)險(xiǎn)���,沃爾瑪會(huì)提供經(jīng)驗(yàn)性的風(fēng)險(xiǎn)衡量標(biāo)準(zhǔn)。
風(fēng)險(xiǎn)與合規(guī)業(yè)務(wù)高級(jí)總監(jiān)魯斯·巴克利(Russ Buckley)在一次圓桌會(huì)議上表示���,通過(guò)安全運(yùn)營(yíng)團(tuán)隊(duì)和合作伙伴團(tuán)隊(duì)的努力���,“我們已經(jīng)能夠?qū)久媾R的某些風(fēng)險(xiǎn)進(jìn)行分級(jí)”。除了將一些威脅標(biāo)記為一般風(fēng)險(xiǎn)外���,沃爾瑪還可以使用內(nèi)部編號(hào)來(lái)幫助企業(yè)對(duì)某一領(lǐng)域投入的人員或預(yù)算進(jìn)行量化���。
“這樣做可以讓我們的企業(yè)領(lǐng)導(dǎo)有一個(gè)經(jīng)驗(yàn)性的數(shù)字(而不僅僅是一種猜測(cè),也不僅僅是來(lái)自好朋友的一個(gè)說(shuō)法)���,并可真正看到一些東西���,然后可以說(shuō),‘這就是我們想要做的事情���,就這樣決定吧���,’”巴克利說(shuō)���。“從而���,這個(gè)決定也可以支持我們向所有客戶(hù)提供各項(xiàng)服務(wù)?��!?/p>
行業(yè)標(biāo)準(zhǔn)的通用安全漏洞評(píng)分系統(tǒng)也要經(jīng)過(guò)沃爾瑪?shù)慕?jīng)驗(yàn)性分析���,從而使公司可以明確通用漏洞披露(CVE)可能造成哪些風(fēng)險(xiǎn)。
這就是網(wǎng)絡(luò)威脅情報(bào)共享發(fā)揮作用之處���。沃爾瑪已擁有相應(yīng)的機(jī)制來(lái)確定某一威脅實(shí)際構(gòu)成的風(fēng)險(xiǎn)���。即使某一通用漏洞披露不會(huì)影響沃爾瑪?shù)木W(wǎng)絡(luò),沃爾瑪也可以對(duì)外分享該漏洞可能對(duì)業(yè)內(nèi)其他公司產(chǎn)生的影響���。
“我們已做了大量的工作���,以確保其他人也了解這種風(fēng)險(xiǎn)���,也許會(huì)說(shuō)明為什么我們沒(méi)有面臨這種風(fēng)險(xiǎn),”巴克利說(shuō)���?��!拔覀儗?duì)其他企業(yè)有一定影響,他們可能會(huì)想‘看���,沃爾瑪沒(méi)有受到漏洞的影響���,但其他公司卻受到影響,或許我們應(yīng)該考慮一下'���,從而他們會(huì)改變自身的安全態(tài)度���。’”
這證明了沃爾瑪擁有強(qiáng)大的網(wǎng)絡(luò)情報(bào)計(jì)劃。就像許多大型企業(yè)一樣���,沃爾瑪也處理來(lái)自不同商業(yè)來(lái)源的信息,收集自己的網(wǎng)絡(luò)威脅情報(bào)。
“我們的研究人員正在做一些工作,比如研究對(duì)手的后端基礎(chǔ)設(shè)施,了解這些威脅制造者如何操作���?��!卑踩\(yùn)營(yíng)業(yè)務(wù)副總裁杰森·奧戴爾(Jason O'Dell)在一次圓桌會(huì)議上說(shuō)���。“作為研究工作的副產(chǎn)品���,我們有時(shí)還會(huì)看到這些威脅制造者盯上了其他公司���,然后���,我們很快就會(huì)把這些信息反饋給企業(yè)群體?��!?/p>
Gartner公司副總裁分析師克里斯·席爾瓦(Chris Silva)在去年談到沃爾瑪如何在安全工作中使用自動(dòng)化時(shí)告訴記者���,與普通公司相比,知名品牌公司面臨著不同的攻擊面���。“他們始終是更大的目標(biāo)”。
像沃爾瑪這樣的品牌可能實(shí)際經(jīng)歷著前所未有的安全威脅,而分享這些情報(bào)可以給其他公司提供一些應(yīng)對(duì)經(jīng)驗(yàn)���。
來(lái)自高層的影響力
沃爾瑪有自己的安全規(guī)范,該規(guī)范的影響力可延伸到監(jiān)管領(lǐng)域���,從而公司希望為客戶(hù)對(duì)隱私的期盼定下基調(diào)���。
盡管聯(lián)邦授權(quán)還沒(méi)有到位���,但在美國(guó)加州的引領(lǐng)下���,各州已經(jīng)在穩(wěn)步推進(jìn)隱私立法���。謝弗在主題演講中表示,這些法規(guī)內(nèi)容正在“推動(dòng)我們朝著自己正在行進(jìn)的方向發(fā)展”���。當(dāng)這些法規(guī)通過(guò)后���,“或許會(huì)加快推進(jìn)我們已經(jīng)實(shí)施的路線(xiàn)圖,這是一件好事”���。
“坦率地說(shuō)���,我們的目標(biāo)還是要成為最值得信賴(lài)的零售商���,因?yàn)槲覀冇行I(yè)務(wù)已超出了零售領(lǐng)域���?��!彼f(shuō)。我們的目標(biāo)是成為“最值得信賴(lài)的公司”���。
這是一個(gè)很高的目標(biāo),但沃爾瑪有足夠的資源來(lái)實(shí)現(xiàn)這一目標(biāo)。在網(wǎng)絡(luò)安全方面���,一個(gè)錯(cuò)誤的舉動(dòng)可能會(huì)給公司的聲譽(yù)帶來(lái)?yè)p失���,但沃爾瑪有足夠的實(shí)力來(lái)解決這些問(wèn)題。防御是一項(xiàng)主動(dòng)性工作���,公司網(wǎng)絡(luò)中的任何東西都不會(huì)被忽略���。
“我們不一定會(huì)那樣過(guò)多關(guān)注沃爾瑪?shù)囊?guī)模,因?yàn)槲覀円蚜?xí)慣于在一個(gè)大環(huán)境中運(yùn)營(yíng)���?��!睙崴谷R在當(dāng)天接受記者采訪(fǎng)時(shí)最后說(shuō)道?��!斑@就是我們的工作狀態(tài)���。”
立即登錄���,閱讀全文
閩公網(wǎng)安備 35010202001226號(hào)
